مورد حمله قرار گرفتن سیستمهای ویندوزی و لینوکسی توسط کرم جدید Golang
یک بدافزار مبتنی بر Golang که به تازگی کشف شده و در حال گسترش است، از اوایل دسامبر به طور فعالانه استخراجکنندگان رمز ارز XMRig را بر روی سرورهای ویندوزی و لینوکس مستقر میکند. این کرم میتواند به سرعت انتشار یابد و هدف آن استقرار استخراجکنندههای XMRig در دستگاههای آلوده برای استخراج Monero در مقیاس بزرگ میباشد.
برای دستیابی به این هدف، بدافزار دارای قابلیتهای Wormable است. این اصطلاح یعنی مجرمان میتوانند با یک بار نفوذ به یک سیستم مخرب، مجموعهای زنجیرهوار از حملهها تشکیل دهند که امکان نفوذ از یک ماشین آسیبپذیر را به ماشین آسیبپذیر بعدی ممکن میکند و هیچ نیازی هم به دستوری از طرف ادمین یا کاربر سیستم آلوده ندارد. این بدان معناست که کرم میتواند از طریق سرویسهایی که در دسترس عموم هستند به ویژه آنها که دارای گذرواژه ضعیف هستند (مانند MySQL، پنل مدیریتی Tomcat و Jenkins) به سایر دستگاهها منتقل شود. در واقع این کرم با اسکن و اجرای Brute-Force بر روی سرویسهای عمومی نامبرده، با استفاده از رمز عبور پیشفرض و یا لیستی از اطلاعات ورود معتبر، به سایر سیستمها سرایت میکند. این در حالی است که نسخههای قدیمیتر آن میتوانند از آسیبپذیری CVE-2020-14882 که Oracle WebLogic را تحت تأثیر قرار میدهد سوءاستفاده کنند. این بدافزار سرورهای ویندوزی و لینوکسی را هدف قرار داده و میتواند به راحتی از یک سیستمعامل به سیستمعامل دیگر مانور دهد.
تجزیه و تحلیل فنی
این حمله شامل سه مؤلفه است: اسکریپت dropper (به صورت bash یا powershell)، کرم باینری Golang و استخراجکننده XMRig (که تمامی آنها در یک سرور C&C میزبانی میشوند).
حمله بدین صورت است که بدافزار به محض دست یافتن به سیستم هدف، ابتدا پورت ۵۲۰۱۳ را بررسی میکند که آیا پردازشی در دستگاه آلوده روی این پورت شنود میکند یا خیر، وجود شنونده بر روی این پورت به عنوان mutex برای بدافزار عمل میکند. اگر دستگاه در حال شنود بر رروی پورت مذکور باشد بدافزار بلافاصله خود را از بین میبرد، و اگر دستگاه در حال شنود روی این پورت نباشد، بدافزار سوکت شبکهی خود را بر روی این پورت باز کرده و فرآیند آلوده نمودن سیستم را آغاز نموده و کرم و XMRig Miner را در سیستمهای ویندوزی و لینوکسی مستقر میسازد. بدین صورت که به محض تسخیر شدن یکی از سرورهای هدف، اسکریپتلودر (ld.sh برای لینوکس و ld.ps1 برای ویندوز) را مستقر میکند که هم XMRig Miner و هم کرم باینری مبتنی بر Golang را در سرور وارد میکند. لازم به ذکر است که کرم باینری و اسکریپت bash dropper در virustotal قابل شناسایی نیستند.
اقدامات کاهشی
کاربران باید اقدامات امنیتی پیشگیرانه را برای جلوگیری از این حمله اتخاذ کنند. بدین منظور اقدامات زیر توصیه میگردد:
- از رمزهای عبور پیچیده استفاده کنید ، تلاش برای ورود را محدود کنید و در صورت امکان از ۲FA (احراز هویت دو عاملی) استفاده کنید.
- استفاده از سرویسهای عمومی (مانند MySQL، پنل مدیریتی Tomcat و Jenkins) را کاهش دهید.
- اطمینان حاصل کنید که سرورهای شما از طریق اینترنت قابل دسترسی نیستند.
- نرمافزارها را همیشه با آخرین وصلههای امنیتی را به روز نگه دارید.
- برای مشاهدهی زمان اجرای کامل کد در سیستم خود و دریافت پیغام هشدار در صورت وجود هر گونه کد مخرب یا غیرمجاز، از یک Cloud Workload Protection Platform (CWPP) مانند Intezer Protect استفاده کنید.